Myndigheten för samhällsskydd och beredskap

Relevanta dokument
Välkommen till enkäten!

Säker digital utveckling i kommuner. Välfärdskonferens 2018

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerheten i Sveriges kommuner. Analys och rekommendationer utifrån MSB:s kommunenkät 2015

MSB:s arbete med samhällets information- och cybersäkerhet - Perspektiv län och kommun

Nya krav på systematiskt informationssäkerhets arbete

Informationssäkerhetspolicy för Ånge kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy. Linköpings kommun

Administrativ säkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

En bild av kommunernas informationssäkerhetsarbete 2015

Utvärdering och förebyggande åtgärder

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Hur värnar kommuner digital säkerhet?

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Policy för informationssäkerhet

Informationssäkerhetspolicy

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

En bild av myndigheternas informationssäkerhetsarbete tillämpning av MSB:s föreskrifter

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy

Kontinuitetshantering i samhällsviktig verksamhet

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Informationssäkerhetspolicy

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy

Organisation för samordning av informationssäkerhet IT (0:1:0)

NIS-reglering.

Bilaga Från standard till komponent

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Anna Rinne Enheten för skydd av samhällsviktig verksamhet. Skydd av samhällsviktig verksamhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Informationssäkerhet, Linköpings kommun

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

POLICY INFORMATIONSSÄKERHET

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

I Central förvaltning Administrativ enhet

Riktlinje för informationssäkerhet

1(6) Informationssäkerhetspolicy. Styrdokument

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhet

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Övergripande riskhantering i Göteborgs Stad

Svar på revisionsskrivelse informationssäkerhet

Kommunrevisionen KS 2016/00531

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Bilaga till rektorsbeslut RÖ28, (5)

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Outsourcing av it-tjänster i kommuner

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Policy och strategi för informationssäkerhet

Nationell risk- och förmågebedömning 2017

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Dnr

Nya dataskyddsförordningen för offentlig sektor

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Regler och instruktioner för verksamheten

Utforma säkerhetsprocesser

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Emmaboda kommun. Granskning av Informationssäkerheten inom Emmaboda kommun. November november 2017

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Informationssäkerhetspolicy

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Transkript:

Informationssäkerheten i Sveriges kommuner En fördjupad analys med rekommendationer Robert Lundberg och Christina Goede, MSB

Bakgrund Regeringsuppdrag till MSB 2015; hur arbetar Sveriges kommuner med informationssäkerhet? 228kommuner svarade på hela enkäten om systematiskt informationssäkerhetsarbete. Rapport lämnades till regeringen i december 2015. Publicerades på msb.se Nu finns en fördjupad analys med mål att ge relevanta rekommendationer till kommunerna För närvarande i utkastform. Publiceras i oktober

Några resultat från analysen: Kommunerna har påbörjat införandet av ramverk för informationssäkerhet och börjat utse ansvar, men Över 40 % av kommunerna anger att de inte har någon utpekad funktion för informationssäkerhet. Av de som har funktion svarar nära 70 % att funktionen arbetar mindre än 10 % av sin arbetstid med informationssäkerhet 3 av 4 kommuner uppger att det inte finns finansiella förutsättningar att bedriva systematiskt informationssäkerhetsarbete

Forts. resultat (riskanalys mm): Kommunerna har svag implementering av viktiga delar i systematiska informationsarbetet: 40 % av kommunerna uppger att de inte har någon metod för riskanalys avseende informationssäkerhet Nära 60 % uppger att de inte kontrollerar efterlevnaden av regelverk för informationssäkerhet. Över hälften av kommunerna har ingen process för rapportering och hantering av incidenter med koppling till informationshanteringen

Forts. resultat (incidenthantering och kontinuitetshantering): Nära 60 % av kommunerna har inga kontinuitetsplaner för att hantera bortfall av information i kritiska verksamhetsprocesser i kommunen. Av de som har en kontinuitetsplan övar endast 20 % regelbundet Positivt dock att 60 % av uppger att incidentrapporteringsprocessen innefattar kommunens externa leverantörer

Vad kan man se för skillnader utifrån några centrala frågor? 7 st. utvalda indikatorer : Finns det en utpekad funktion för informationssäkerhet inom kommunen? Kontrolleras efterlevnad rörande informationssäkerhet? Tillämpar kommunen ett systematiskt arbetssätt när det gäller informationssäkerhet? Har kommunen en metod för informationsklassning? Genomför kommunen riskanalys avseende informationssäkerhet? Finns kontinuitetsplaner för att hantera bortfall av information i kritiska verksamhetsprocesser inom kommunen? Finns det en process för rapportering och hantering av säkerhetsbrister/incidenter kopplade till informationshantering inom kommunen?

Indikatorer 15 kommuner svarade JA på samtliga 7 frågor. 21 kommuner svarade Nej på samtliga 7 frågor.

Urval av resultat De kommuner som svarat JA på frågorna hade i högre grad (93 %) än genomsnittet ett samarbete med andra kommuner, och de som svarat NEJ har på motsvarande sätt en lägre grad av samverkan (32 %). Av de kommuner som svarade JA på frågorna hade alla (100 %) en beslutad informationssäkerhetspolicy, och av de kommuner som svarade NEJ hade mindre än hälften en sådan policy (41 %). Av de kommuner som svarade JA på frågorna erbjöd 86 % utbildningi informationssäkerhet till de anställda. Motsvarande för de som svarade NEJ var 36 %.

Slutsats Flera av resultaten är nära förknippade med resurser de kommuner som har en företrädare för informationssäkerhetsfrågor med tillräcklig tid för uppdraget har generellt sett ett mer systematiskt informationssäkerhetsarbete. Exempel på det är: rapporteringsvägar hur riskanalys och informationsklassning tillämpas hur informationssäkerhetsaspekter hanteras i samband med upphandlingar.

Rekommendationer 1. Utse en funktion för informationssäkerhet bör vara direkt underställd den högsta ledningen. behöver använda en majoritet av sin tid till uppdraget och få resurser. behöver kontinuerligt kompetensutvecklas och behöver etablera kontakter och hitta former för samverkan.

Rekommendationer 2. Ta fram en analys av nuläget i kommunen Ta fram en analys av nuläget i kommunenvilket handlar om att skapa en samlad bild om informationssäkerhetsnivån i kommunen.

Rekommendationer 3. Informera och skapa en handlingsplan utifrån nuläget: Informera ledningen hur nuläget ser ut.visa exempel på reella hot och incidenter. Beskriv några centrala lagkrav, ex dataskyddsförordningen som får stor påverkan på hur kommunen hanterar personuppgifter. Skapa handlingsplanutifrån nuläget. Bör beslutas av ledningen. I handlingsplanen bör det finnas en aktivitet som handlar om att Identifiera vilken kritisk information som hanteras inom kommunen för att sedan klassa den informationen. Fokusera på den mest kritiska informationen/känsliga informationen som är i behov av höga skyddskrav. Ta fram styrdokument som policy och riktlinjer samt åtgärda de viktigaste bristerna och sårbarheterna.

Rekommendationer 4. Höj säkerhetsmedvetandet: Se till att höja säkerhetsmedvetandet inom kommunen och stödja organisationens förmåga att efterleva kraven i riktlinjerna. Detta kan ske ex. genom utbildning, att ta fram vägledningar och annan information.

Rekommendationer 5. Utvärdera och uppdatera: Se över om kommunen efterlever det som står i de framtagna riktlinjerna. Planera in återkommande uppföljning/revison av verksamheten. Resultaten av uppföljning skall ingå som en del av den återkommande rapporteringen till ledningen. Och glöm inte att övning ger färdighet!

Tack för att ni lyssnade! Kontakt: Robert.lundberg@msb.se Christina.goede@msb.se Mer information finns på: www.informationssakerhet.se och www.msb.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss